Chi è il titolare del trattamento dei dati (GDPR)?

Ai sensi del GDPR si intende per titolare del trattamento dei dati (Data Controller) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4. par. 1, n. 7 GDPR).

Il titolare, quindi, è il soggetto responsabile del trattamento dei dati personali, che determina le finalità e le modalità del trattamento, senza ricevere istruzioni da altri, decidendo il “perché” ed il “come” gestire i dati raccolti.
Seppur brevemente, è opportuno ricordare che il titolare, secondo il GDPR, è colui che:

• Deve porre in essere misure tecniche e organizzative adeguate per garantire i principi della privacy by design e privacy by default;
• Procede alla valutazione del data protection impact assessment;
• Cura la riservatezza dei dati e deve sempre garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente. Proprio per questa finalità spetta a lui stabilire e adottare misure adeguate di sicurezza;
• Deve procedere alla redazione del registro dei trattamenti;
• Ha l’obbligo di formazione del personale;
• Individua e fornisce istruzioni ai soggetti autorizzati al trattamento dei dati;
• Comunica alla persona fisica i dati trattati, rendendo idonea informativa;
• Si occupa della documentazione delle violazioni dei dati personali, comprese le circostanze, le conseguenze ed i provvedimenti adottati per porvi rimedio;
• Riceve le richieste di tutela dei propri diritti da parte degli interessati.

Il titolare del trattamento: casi specifici

Nel settore privato, il titolare del trattamento può essere sia una persona fisica, sia una persona giuridica (generalmente, il titolare è individuato nel vertice dell’azienda, società o associazione), mentre nel settore pubblico, tale ruolo può essere rivestito solo da una persona giuridica.
Nel caso in cui il trattamento dei dati venga effettuato da una persona giuridica o da una P.A., il titolare deve essere identificato nell’ente nel suo complesso, anziché in taluna delle persone fisiche che operano nella struttura.
Nel caso di gruppi di società, la società madre e le controllate sono sempre distinti titolari del trattamento, avendo una personalità giuridica distinta.

Il GDPR riconosce come possibile la coesistenza di più titolari (“contitolari” o joint controllers”) che decidono congiuntamente il trattamento di uno specifico trattamento per conseguire una finalità comune. In tal caso la normativa impone ai contitolari di definire specificamente (con atto giuridicamente valido) il rispettivo ambito di responsabilità e compiti. In questo caso, gli interessati possono rivolgersi indifferentemente ad uno o qualsiasi dei contitolari.

GDPR titolare e responsabile del trattamento dei dati

Il GDPR definisce due ruoli chiave nella gestione dei dati personali: il “titolare del trattamento” e il “responsabile del trattamento”.
Abbiamo definito il titolare del trattamento come colui che è responsabile dell’organizzazione, gestione, operatività e sicurezza del trattamento medesimo. Questa definizione ha, invero, destato qualche confusione con il Responsabile del trattamento (o Data Processor).
Ai sensi del GDPR, tuttavia, non sussistono dubbi sulla definizione di responsabile del trattamento come la persona fisica, giuridica, P.A. o ente che materialmente elabora e tratta i dati personali in nome e per conto del titolare del trattamento (art. 4, par. 1, n. 8, GDPR).
Si tratta di un soggetto distinto dal titolare e da questi designato con apposito atto (art. 28 GDPR), il quale deve essere in grado di fornire adeguate garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché garantire la tutela dei diritti dell’interessato.
Il responsabile del trattamento, quindi, tratta i dati personali per conto (e secondo le istruzioni) del titolare del trattamento ed è, solitamente, un terzo esterno all’azienda.
Il responsabile del trattamento, inoltre, può subappaltare una parte delle sue funzioni a un altro responsabile del trattamento o nominare un sub-responsabile, ma solo previa autorizzazione scritta del titolare del trattamento.

Link utili:

• DECRETO LEGISLATIVO 30 giugno 2003, n. 196 – Normattiva
• REGOLAMENTO (UE) 2016/ 679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO – del 27 aprile 2016 – relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/ 46/ CE (regolamento generale sulla protezione dei dati) (europa.eu)

F.A.Q.

Chi è il titolare del trattamento dei dati personali?

Il titolare del trattamento dei dati personali è la persona fisica o giuridica, l’autorità pubblica o qualsiasi altro organismo che determina le finalità e i mezzi del trattamento dei dati personali. In altre parole, è il soggetto che decide perché e come i dati personali vengono trattati e si preoccupa della libera circolazione dei dati personali nel rispetto della loro sicurezza e nel rispetto dei diritti e libertà delle persone a cui i dati si riferiscono.

Quali sono gli obblighi del titolare del trattamento dei dati?

Il titolare del trattamento dei dati personali ha diversi obblighi ai sensi del GDPR. Deve essere trasparente nell’informare gli interessati sul trattamento dei loro dati; rispettare i diritti degli interessati; trattare i dati personali in modo lecito e corretto; limitare la finalità della raccolta e del trattamento dei dati; utilizzare solo dati personali adeguati, pertinenti e limitati a quanto necessario; garantire la sicurezza dei dati; notificare tempestivamente le violazioni dei dati e dimostrare la conformità al GDPR attraverso politiche, procedure e documentazione adeguate.

Chi è il titolare del trattamento ai sensi dell’art. 4 del regolamento UE 2016/679?

Il responsabile del trattamento è un outsourcer, quindi un fornitore, che svolge per conto del titolare del trattamento determinati trattamenti, in base a precise indicazioni ed istruzioni di quest’ultimo.

Chi sono i soggetti autorizzati al trattamento dei dati personali ai sensi del GDPR?

La persona autorizzata al trattamento o incaricato del trattamento è una figura non prevista espressamente dal GDPR, pur tuttavia non esclusa, in quanto è possibile ricavare il riferimento a persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile (ex artt. 30 Codice e art. 4, par. 1, n. 10 GDPR).